CNPD: enregistrer des réunions et conversations pro en conformité RGPD

Enjeu: en 2026, la CNPD encadre l’enregistrement (audio/vidéo) des réunions privées. Le choix de la base légale et la durée de conservation sont décisifs; une mauvaise information des participants expose à des risques.

La règle générale

• Le RGPD s’applique dès qu’un enregistrement permet d’identifier des personnes (voix, nom affiché, image, métadonnées). Principes: licéité, minimisation et limitation de la conservation (art. 5(1)(a)-(c) et (e) RGPD) et choix d’une base légale (art. 6(1) RGPD). Texte officiel: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
• Information préalable des participants: art. 13 (ou 14 si indirect) précise le contenu minimal (finalités, base légale, destinataires, durée/critères, droits, coordonnées DPO, etc.). Texte: https://www.legislation.gov.uk/eur/2016/679/pdfs/eur_20160679_adopted_en.pdf.
• Droits: opposition (art. 21) en cas d’intérêt légitime, retrait du consentement (art. 7), effacement (art. 17) sous conditions, et tenue du registre (art. 30). Référence: https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32016R0679.

Pour des cas sectoriels, des lois spéciales peuvent imposer l’enregistrement et la conservation. Dans le secteur financier luxembourgeois (MiFID II), la Loi du 5 avril 1993 (LSF) exige l’enregistrement des conversations relatives aux ordres clients et la conservation 5 ans (jusqu’à 7 ans à la demande de la CSSF): https://www.cssf.lu/wp-content/uploads/L_050493_lsf_upd_150724.pdf (art. 37-1(6bis)).

Ce que dit le régulateur

• CNPD (Luxembourg) – « Enregistrement sonore des réunions » (01/04/2026):
  • La base légale peut être le consentement (art. 6(1)(a)) ou l’intérêt légitime (art. 6(1)(f)), mais le consentement est souvent difficile à rendre « libre » et « univoque » en contexte professionnel.
  • En intérêt légitime, la nécessité et la mise en balance doivent être réalisées au cas par cas; d’autres moyens (prise de notes, secrétaire de séance, transcription sans enregistrement) peuvent suffire.
  • Conservation: l’enregistrement doit être supprimé dès que le procès-verbal est rédigé, signé et approuvé.
  • Lien: https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html.
• EDPB (Comité européen):
  • Lignes directrices 05/2020 sur le consentement: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en.
  • Lignes directrices 3/2019 sur les dispositifs vidéo: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.
  • Projet de lignes directrices 1/2024 sur l’intérêt légitime: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_de.
• Jurisprudence UE: CJUE, C‑252/21, Meta v. Bundeskartellamt (04/07/2023): exigence stricte de base légale et contrôle concret de la nécessité et de la mise en balance. Texte: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62021CJ0252_RES.
• CSSF (finance): rappel des exigences MiFID II sur le « call taping » et la conservation: https://www.cssf.lu/en/2020/03/esma-clarifies-position-on-call-taping-under-mifid-ii/ et LSF: https://www.cssf.lu/wp-content/uploads/L_050493_lsf_upd_150724.pdf.
• ENISA (sécurité): bonnes pratiques de visioconférence – éviter les enregistrements par défaut, informer, paramétrer la confidentialité, activer l’enregistrement uniquement en cas de besoin: https://www.enisa.europa.eu/news/enisa-news/tips-for-selecting-and-using-online-communication-tools.

Comment l’appliquer en pratique

Avant (conception et préparation)

1. Qualifier le traitement et choisir la base légale:
   • Si l’enregistrement est imposé par la loi (ex. MiFID II), base légale = obligation légale; documenter le texte et la durée légale (5 ans, jusqu’à 7 ans à la demande CSSF). LSF: https://www.cssf.lu/wp-content/uploads/L_050493_lsf_upd_150724.pdf.
   • Sinon, préférer l’intérêt légitime pour des objectifs précis (fidélité du PV, gestion d’un litige), après une LIA couvrant intérêt, nécessité, mise en balance, mesures atténuantes (pause d’enregistrement, masquage de données sensibles, accès restreint). Se référer au projet EDPB 1/2024: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_de.
   • Le consentement n’est valable que s’il est réellement libre (option de non‑enregistrement sans préjudice) et univoque (recueilli individuellement et traçable). Voir EDPB 05/2020: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en.
2. Informer les participants (art. 13):
   • Avant la réunion: mention dans l’invitation + notice dédiée: finalité, base légale, destinataires, durée (ou critères), droits, point de contact/DPO, transferts hors UE le cas échéant. Modèle aligné avec art. 13 RGPD: https://www.legislation.gov.uk/eur/2016/679/pdfs/eur_20160679_adopted_en.pdf.
   • En salle/au début de la visio: rappel oral et visuel (bannière « Enregistrement activé »), et possibilité d’intervention « off record » si prévu.
3. Gouvernance et sécurité:
   • Mettre à jour le registre (art. 30) et, si la cartographie révèle un risque élevé (ex. enregistrements systématiques d’employés ou données sensibles), évaluer l’obligation d’AIPD (liste CNPD art. 35.4 + critères G29): https://cnpd.public.lu/fr/actualites/national/2019/03/liste-DPIA.html.
   • Paramétrer l’outil: enregistrement désactivé par défaut; stockage chiffré; accès par rôles; interdiction d’enregistrements personnels non maîtrisés; recommandations ENISA: https://www.enisa.europa.eu/news/enisa-news/tips-for-selecting-and-using-online-communication-tools.

Pendant (conduite de la réunion)

• Annoncer clairement le début/fin de l’enregistrement; si consentement, consigner l’accord individuel.
• Minimisation: éviter de capter des informations hors sujet; privilégier l’audio si l’objectif est la rédaction du PV (moins intrusif que la vidéo, selon la proportionnalité EDPB 3/2019): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.
• Gérer les « off »: prévoir une procédure pour suspendre l’enregistrement (bouton/consigne), consignée dans la notice.

Après (exploitation, conservation, suppression)

• Rédiger le procès-verbal; contrôler exactitude; restreindre l’accès aux seuls besoins (principe d’intégrité/confidentialité, art. 5(1)(f)).
• Supprimer l’enregistrement dès que le PV est approuvé (position CNPD). Mettre en place une suppression automatique/contrôlée et journalisée: https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html.
• Si base légale = obligation légale (MiFID II), appliquer la durée légale (5 ans, extensible à 7 ans sur demande CSSF) et répondre aux demandes d’accès clients: https://www.cssf.lu/wp-content/uploads/L_050493_lsf_upd_150724.pdf.
• Traiter les droits (accès, opposition pour intérêt légitime, retrait du consentement), tracer les réponses et motifs.

Cas concrets

• Réunion de comité de direction (secteur non réglementé): objectif = fidélité du PV. Base recommandée: intérêt légitime, avec mesures: annonce préalable, limitation aux points de l’ordre du jour, accès restreint au secrétariat, suppression à l’approbation du PV. Réf. CNPD: https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html.
• Salle de marchés (PSF MiFID II): enregistrement des appels liés aux ordres obligatoire; information préalable des clients et conservation 5 ans. Processus et contrôles documentés (LSF, MiFID II): https://www.cssf.lu/wp-content/uploads/L_050493_lsf_upd_150724.pdf et https://www.cssf.lu/en/2020/03/esma-clarifies-position-on-call-taping-under-mifid-ii/.

Pièges fréquents

1. Compter sur un « vote » des participants comme substitut au consentement individuel: refusé par la CNPD (pas un consentement « libre et univoque »). Réf.: https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html.
2. Enregistrer « au cas où » sans démontrer la nécessité ni la mise en balance (LIA) en intérêt légitime; la CJUE et l’EDPB exigent une analyse concrète et restrictive: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_de.
3. Conserver l’enregistrement après approbation du PV « pour l’historique »: contraire au principe de limitation de conservation et à la guidance CNPD: https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html.
4. Oublier l’information art. 13/14 (durée ou critères, droits, DPO): non‑conformité fréquente en audit: https://www.legislation.gov.uk/eur/2016/679/pdfs/eur_20160679_adopted_en.pdf.
5. Activer l’enregistrement par défaut des outils de visio sans contrôle d’accès ni chiffrement: ENISA recommande de s’y opposer et de n’enregistrer qu’en cas de besoin: https://www.enisa.europa.eu/news/enisa-news/tips-for-selecting-and-using-online-communication-tools.

Sources officielles

• CNPD – Enregistrement sonore des réunions (01/04/2026): https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html
• RGPD (EUR‑Lex): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
• EDPB – Guidelines 05/2020 (Consent): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
• EDPB – Guidelines 3/2019 (Video devices): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en
• EDPB – Draft Guidelines 1/2024 (Legitimate interest): https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_de
• CJUE – C‑252/21 Meta v. Bundeskartellamt (04/07/2023): https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62021CJ0252_RES
• CSSF – LSF consolidée (MiFID II, conservation 5 ans/7 ans): https://www.cssf.lu/wp-content/uploads/L_050493_lsf_upd_150724.pdf
• CSSF/ESMA – « Call taping » MiFID II: https://www.cssf.lu/en/2020/03/esma-clarifies-position-on-call-taping-under-mifid-ii/
• ENISA – Outils de communication en ligne: https://www.enisa.europa.eu/news/enisa-news/tips-for-selecting-and-using-online-communication-tools

Nota bene (périmètre): la page CNPD vise le secteur privé (entreprises/associations). Les règles spécifiques du secteur public (ex. publicité des séances) relèvent d’autres textes; elles ne sont pas traitées ici par la CNPD: https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html.

En pratique: pour le Luxembourg, une organisation peut enregistrer des réunions si (i) la base légale est justifiée et documentée, (ii) l’information est complète, (iii) la conservation est strictement limitée (souvent jusqu’à l’approbation du PV), et (iv) la sécurité de bout en bout est maîtrisée. Toute déviation doit être motivée par un texte spécial (p.ex. MiFID II) ou par une analyse d’intérêt légitime robuste et traçable.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.